Skip to main content

Peines pour cybercriminalité en France : infractions, sanctions et circonstances aggravantes

6 mars 2026

En France, les infractions de cybercriminalité couvrent un spectre très large — du simple accès frauduleux à un système jusqu’au ransomware en bande organisée — et les peines encourues varient considérablement selon la qualification retenue et les circonstances aggravantes.

Que vous soyez victime d’une infraction cyber ou mis en cause dans une procédure, comprendre les peines encourues est la première étape — la seconde étant de savoir comment porter plainte et quelles sont vos chances d’aboutir.

Cet article examine :

  1. Les infractions aux systèmes informatiques
  2. Le cumul avec d’autres infractions
  3. Les peines complémentaires
  4. Les circonstances aggravantes transversales
  5. Que faire si vous êtes mis en cause ?

 

1. Les infractions aux systèmes informatiques (titre II du livre III)

L’accès frauduleux à un système d’information (article 323-1 du code pénal)

L’article 323-1 du Code pénal réprime « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données ».

  • Peine de base : 2 ans d’emprisonnement et 60 000 € d’amende.
  • Aggravé à 3 ans et 100 000 €, si l’accès entraîne la suppression ou la modification de données, ou l’altération du fonctionnement du système.
  • Aggravé à 5 ans et 150 000 €, si l’infraction est commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, ou en bande organisée.

L’entrave au fonctionnement d’un système d’information (article 323-2 du code pénal)

L’article 323-2 sanctionne « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données ».

  • Peine de base : 5 ans d’emprisonnement et 150 000 euros d’amende.
  • Aggravé à 7 ans et 300 000 €, si l’infraction est commise à l’encontre d’un système de l’État ou en bande organisée.

Cette infraction vise notamment les attaques par déni de service (DDoS), les ransomwares paralysant les systèmes, ou les virus détruisant des fonctionnalités.

La modification frauduleuse de données d’un système d’information (article 323-3)

L’article 323-3 du code pénal réprime « le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient ».

  • Peine de base : 5 ans d’emprisonnement et 150 000 euros d’amende.
  • Aggravé à 7 ans et 300 000 €, si l’infraction est commise à l’encontre d’un système de l’État, lorsqu’elle entraîne la suppression ou la modification de données, ou en bande organisée.

Cette disposition large englobe le vol de données, la modification de fichiers, la suppression de preuves numériques, ou l’injection de code malveillant.

L’importation et la détention d’outils de piratage (article 323-3-1)

L’article 323-3-1 du code pénal sanctionne « le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre » les infractions de cybercriminalité.

  • Peine : identique à celle de l’infraction que le dispositif permet de commettre, dans la limite de deux ans d’emprisonnement et 60 000 euros d’amende.

Cette incrimination vise les outils de hacking (exploits, keyloggers, RAT, etc.) détenus sans justification légitime.

 

2. Le cumul avec d’autres infractions

Les infractions de cybercriminalité se cumulent fréquemment avec d’autres infractions de droit commun, aggravant le quantum de peine encouru.

L’escroquerie en ligne

  • L’escroquerie définie à l’article 313-1 est punie de 5 ans d’emprisonnement et 375 000 € d’amende.
  • Elle est aggravée à 7 ans et 750 000 € lorsqu’elle est commise par un moyen de communication électronique.

Le phishing bancaire, les fausses boutiques en ligne, ou les arnaques aux sentiments relèvent de cette qualification.

L’extorsion par ransomware

L’extorsion de l’article 312-1 est punie de 7 ans d’emprisonnement et 100 000 € d’amende. Elle sanctionne le fait d’obtenir par contrainte la remise de fonds.

Les ransomwares qui chiffrent les données et exigent une rançon caractérisent une extorsion aggravée à 10 ans et 150 000 € en bande organisée, voire 15 ans et 750 000 € si l’infraction a causé une ITT supérieure à huit jours.

Le cumul de l’entrave au fonctionnement ( Article 323-2 du code pénal) et de l’extorsion (312-1) et la circonstance aggravante de bande organisée portent le quantum total à des niveaux très élevés, à savoir de la réclusion criminelle.

Les atteintes à la vie privée

  • L’article 226-1 du code penal réprime la captation d’images ou de paroles dans un lieu privé, punie 1 an d’emprisonnement et 45 000 € d’amende.
  • L’article 226-2-1 du code pénal sanctionne la diffusion d’images intimes sans consentement (revenge porn), punie de 10 ans et 60 000 €.
  • L’article 226-4-1 du code pénal réprime l’usurpation d’identité en ligne, punie 1 an et 15 000 €, aggravée à deux ans et 30 000 € sur un réseau en ligne.

Pour en savoir plus sur les recours disponibles, consultez notre article sur que faire en cas d’usurpation d’identité.

 

Vous êtes mis en cause pour une infraction cyber ?

La qualification retenue et les circonstances aggravantes déterminent l’ensemble de votre exposition pénale. Une consultation rapide permet d’évaluer votre situation avant que la procédure ne s’accélère.

 

CONSULTEZ BELHAOUCI AVOCAT→

 

3. Les peines complémentaires

Au-delà des peines principales d’emprisonnement et d’amende, le juge peut prononcer des peines complémentaires spécifiquement adaptées à la cybercriminalité.

L’interdiction d’exercer une activité professionnelle

L’article 323-6 du code pénal permet d’interdire à la personne condamnée d’exercer, directement ou indirectement, l’activité professionnelle dans l’exercice ou à l’occasion de laquelle l’infraction a été commise.

Cette peine écarte les informaticiens malveillants de leur domaine d’expertise.

La fermeture d’établissement

Le juge peut ordonner la fermeture définitive ou temporaire de l’établissement ayant servi à commettre l’infraction (par exemple, un hébergeur ou une plateforme facilitant des activités illicites).

La confiscation

La confiscation du matériel informatique ayant servi à commettre l’infraction (ordinateurs, serveurs, téléphones) et des gains tirés de l’infraction prive l’auteur de ses outils et de son enrichissement.

L’affichage et la diffusion

L’affichage ou la diffusion de la décision de condamnation vise à informer le public et à restaurer la réputation des victimes.

 

4. Les circonstances aggravantes transversales

La bande organisée

La commission en bande organisée constitue une circonstance aggravante majeure pour toutes les infractions de cybercriminalité. Elle révèle une criminalité structurée et professionnelle. (Article 132-71 du code pénal)

Les réseaux de cybercriminels internationaux agissant de concert sont systématiquement poursuivis pour ce chef aggravant.

Les systèmes de l’État

Les attaques visant les systèmes de l’État ou contenant des données à caractère personnel mises en œuvre par l’État sont aggravées. Cette protection renforcée vise les infrastructures critiques et les données sensibles de l’administration.

La dimension internationale

Bien que ce ne soit pas une circonstance aggravante formelle, la dimension internationale des infractions complique les poursuites et justifie souvent des investigations plus longues et plus coûteuses.

 

5. Que faire si vous êtes mis en cause ?

Maître Djamel Belhaouci : votre défense en cybercriminalité

Poursuivi pour cybercriminalité, Maître Djamel Belhaouci, avocat au barreau de Marseille spécialisé en cybercriminalité et droit pénal du numérique, vous accompagne.

Être mis en cause pour une infraction cyber ne signifie pas que la condamnation est inévitable. En revanche, chaque étape de la procédure compte — notamment les premières heures.

Maître Belhaouci, avocat au barreau de Marseille spécialisé en cybercriminalité et droit pénal du numérique, intervient pour :

  • Analyser les infractions reprochées et l’exposition pénale réelle
  • Contester la qualification retenue ou les circonstances aggravantes
  • Démontrer l’absence d’intention ou invoquer des causes d’irresponsabilité
  • Plaider pour des peines aménagées ou alternatives
  • Construire une défense technique et juridique adaptée aux spécificités du dossier.

Ne répondez à aucune question sans avocat. Maître Belhaouci intervient en urgence dès les premières heures de la procédure.

CONSULTEZ BELHAOUCI AVOCAT→

 

FAQ

Quelles sont les peines maximales pour cybercriminalité ?

7 ans d’emprisonnement et 300 000 € pour les infractions informatiques les plus graves, pouvant se cumuler avec d’autres infractions – extorsion, escroquerie — portant l’exposition à des niveaux relevant de la réclusion criminelle en cas de bande organisée.

La simple détention d’outils de hacking est-elle punissable ?

Oui.

Sans motif légitime (recherche, sécurité informatique), jusqu’à 2 ans et 60 000 €. En revanche, les professionnels de la cybersécurité disposent d’une exception légale — à condition de pouvoir la justifier.

Les peines sont-elles systématiquement prononcées ?

Non.

Le juge peut prononcer des peines inférieures aux maxima légaux, des sursis, ou des aménagements selon les circonstances.

Un mineur peut-il être condamné pour cybercriminalité ?

Oui.

Mais le régime pénal des mineurs prévoit des peines atténuées et privilégie les mesures éducatives.

Les amendes peuvent-elles être augmentées ?

Oui.

L’amende peut être portée au double du produit tiré de l’infraction si ce montant est supérieur au maximum légal.

 

Close Menu